A unas semanas de que Google descubriera un kit para hackear el iPhone, una nueva herramienta ha salido a la luz. Investigadores de Google, iVerify y Lookout revelaron la existencia de DarkSword, una técnica que permite vulnerar los dispositivos iOS con solo visitar una web. Los expertos afirman que esta herramienta ya ha sido utilizada en campañas de espionaje y que podría afectar a cientos de millones de usuarios.
De acuerdo con múltiples publicaciones de los investigadores, DarkSword es un exploit que funciona como un ataque de tipo watering hole (o abrevadero), una técnica en la que los hackers infectan sitios web legítimos para comprometer los dispositivos de sus víctimas. En este caso, cualquier iPhone vulnerable solo necesita cargar la página para que el atacante tenga acceso al móvil.
A diferencia del spyware convencional, DarkSword no instala ningún archivo en el dispositivo. La herramienta adopta técnicas de malware sin archivo que consisten en secuestrar los procesos del sistema operativo para robar datos.
“En lugar de usar un payload de spyware para abrirse paso a la fuerza por el sistema de archivos, esto simplemente usa los procesos del sistema de la forma en que están diseñados para usarse”, explicó Rocky Cole, cofundador de iVerify.
DarkSword aprovecha seis vulnerabilidades distintas distribuidas en dos cadenas de ataque separadas, que van desde el motor de renderizado WebKit hasta el núcleo de iOS. Según los ingenieros de seguridad, el exploit actúa en los primeros minutos, extrae todo lo que puede y desaparece al reiniciar el dispositivo. Debido a que no instala archivos, deja pocos rastros, por lo que la detección se vuelve más complicada.
Qué datos puede robar DarkSword en el iPhone
Una vez que el usuario visita una web infectada, los hackers pueden robar una cantidad impresionante de datos. Entre ellos se encuentran mensajes de texto, historial de llamadas, contraseñas del WiFi, historial de navegación y de ubicación y la billetera de criptomonedas. También tendrán acceso a los registros de iMessage, WhatsApp y Telegram, datos de Calendario y Notas, así como tu información de Apple Health.
Según el Grupo de Inteligencia de Amenazas de Google, DarkSword ha sido utilizado desde al menos noviembre de 2025 por múltiples actores, incluyendo vendedores de spyware y grupos de espionaje patrocinados por estados. Se han detectado campañas activas contra objetivos en Arabia Saudita, Turquía, Malasia y Ucrania.
El caso más documentado involucra a UNC6353, un grupo de espionaje ruso que utilizó la herramienta Coruna en webs de Ucrania, incluido un servidor del gobierno. En los casos de Turquía y Malasia, Google identificó el uso de DarkSword por parte de clientes de PARS Defense, una empresa turca de seguridad y vigilancia.
Un detalle que llama la atención del reporte es que los hackers dejaron el código de DarkSword completamente expuesto, sin ofuscar. Existen comentarios explicativos en inglés que incluso incluían el nombre de la herramienta, accesibles para cualquiera que visitara las webs infectadas.
“Cualquiera que tomara manualmente las distintas partes del exploit podría ponerlas en su propio servidor web y empezar a infectar teléfonos. Es así de simple”, advirtió Matthias Frielingsdorf, cofundador e investigador de iVerify. “Está todo bien documentado. Es demasiado fácil.”
Más de 270 millones de dispositivos quedaron expuestos
Al igual que vimos en Coruna, esta herramienta se aprovecha de móviles que no han instalado la versión más reciente del sistema operativo. El grupo de investigadores reveló que DarkSword afecta a dispositivos que ejecutan desde iOS 18.4 hasta iOS 18.7. Según los datos de Apple, estas versiones todavía se ejecutan en cerca de 270 millones de iPhones en todo el mundo.
La buena noticia es que Apple ya parcheó todas las vulnerabilidades con el lanzamiento de iOS 26. La tecnológica también publicó actualizaciones de emergencia para modelos antiguos que no pueden ejecutar la versión más reciente del sistema operativo.
Si todavía no actualizas tu móvil, puedes hacerlo desde Ajustes > General > Actualización de Software. Los expertos también sugieren activar el Modo de Aislamiento (o Modo Hermético) del iPhone, una protección adicional que bloquea ciertas funciones al navegar o usar los servicios y aplicaciones. Este modo está dirigido a personas que podrían ser víctimas de ataques dirigidos.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://hipertextual.com/seguridad/darksword-exploit-hackeo-iphone-ios-18/
